В чём безопасность DNS over HTTPS?

Question

[7uiuwrohpq]

Назначение DNS over HTTPS — это повышение конфиденциальности и безопасности. При использовании этого протокола провайдер не может видеть мои DNS‐запросы и не знает доменное имя запрашиваемого мой ресурса, однако ему ведь по‐прежнему известен IP‐адрес сайта на который я захожу. Если провайдер знает IP‐адрес, то он же может его сопоставить с названием сайта и таким образом узнать куда я захожу?

Верно ли я понимаю, что шифрованный DNS-трафик защитит меня от злоумышленников, которые в ином случае могли бы прослушать канал связи и перехватить незащищенные данные, но интернет-провайдер всё равно будет знать о посещаемых мною ресурсах и DNS over HTTPS не сможет сделать его менее осведомлённым о моих действиях в сети?

Answer 1

[Василий Банников]

Если провайдер знает IP‐адрес, то он же может его сопоставить с названием сайта и таким образом узнать куда я захожу?

Одному ip может соответствовать очень много разных доменов => в общем случае сложно определить, какой именно сайт ты решил посетить.
Правда ещё существует DPI, которому побоку.

Верно ли я понимаю, что шифрованный DNS-трафик защитит меня от злоумышленников, которые в ином случае могли бы прослушать канал связи и перехватить незащищенные данные

А ещё нельзя подменить ответ от dns-сервера. Да только злоумышленник тут почти всегда - провайдер.

Comments

[shurshur]

Правда ещё существует DPI, которому побоку.

Это до тех пор, пока не внедрили ECH.

[Василий Банников]

shurshur, что?

[shurshur]

Василий Банников, DPI сейчас видит посещаемый сайт только по SNI, но рано или поздно внедрят ECH (Encrypted Client Hello) и это перестанет работать.

[Василий Банников]

shurshur, вроде видел примеры, когда ща счёт каких-то эвристик DPI может даже с encrypted client hello понять, с каким сайтом идёт взаимодействие

[shurshur]

Василий Банников, ну есть и работы, где за счёт эвристик определяют, какой именно фильм смотрит пользователь на Netflix :)

Answer 2

[mayton2019]

Существует атака когда человек посередине канала (man in the middle) подсовывает свой dns и вы,
заходя в свой банковский кабинет попадаете на сайт-обманку. Дальше могут быть разные сценарии
но в целом доверие к доменному имени базируется просто на предположении что вы точно-точно
знаете что зашли в СВОЙ банк а не в фейковый.

Возможно DNS over https решает эту проблему ведь человек посередине уже не может вклиниться в
https соединение. Хотя и здесь тоже можно рассуждать на тему браузера и того какие сертификаты
изначально там установлены. Кто вам устанавливал браузер и сами сертификаты. Короче вопрос
нулевого доверия на каком-то этапе остается. Криптография кажется его никак не решает.

Answer 3

[CityCat4]

DоН предназначен для нивелирования часто применяемой "мини-защиты" от провайдера, когда провайдер анализируя DNS-запросы, при получении сработки "чел запросил IP запрещенного сайта" подменяет ответ так, что ты попадаешь не на целевой сайт, а на сайт-заглушку провайдера. DoH - это, конечно полумера, потому что их список конечен и легко блокируется.

Answer 4

[Griboks]

Вы всё перепутали. Буква S на конце выполняет исключительно одну единственную функцию - повзволяет вам получить подпись сервиса по ту сторону интернета. Далее ваш бразуер автоматически пробивает эту подпись по встроенной базе "безопасных" сервисов.